Red Hat Summit1.5. Configuration d’un fournisseur d’identité et octroi d’un accès au cluster
Le service OpenShift Red Hat sur AWS (ROSA) inclut un serveur OAuth intégré. Après la création de votre cluster ROSA, vous devez configurer OAuth pour utiliser un fournisseur d’identité. Ensuite, vous pouvez ajouter des membres à votre fournisseur d’identité configuré pour leur accorder l’accès à votre cluster.
Il est également possible d’accorder aux utilisateurs du fournisseur d’identité des privilèges de cluster-admin ou d’administration dédié au besoin.
Configuration d’un fournisseur d’identité
Il est possible de configurer différents types de fournisseurs d’identité pour votre cluster Red Hat OpenShift Service sur AWS (ROSA). Les types pris en charge incluent GitHub, GitHub Enterprise, GitLab, Google, LDAP, OpenID Connect et les fournisseurs d’identité htpasswd.
L’option fournisseur d’identité htpasswd n’est incluse que pour activer la création d’un seul utilisateur d’administration statique. htpasswd n’est pas pris en charge en tant que fournisseur d’identité à usage général pour Red Hat OpenShift Service sur AWS.
La procédure suivante configure un fournisseur d’identité GitHub comme exemple.
Procédure
- Accédez à github.com et connectez-vous à votre compte GitHub.
- Dans le cas où vous n’avez pas une organisation GitHub existante à utiliser pour le provisionnement d’identité pour votre cluster ROSA, créez-en un. Suivez les étapes de la documentation GitHub.
Configurez un fournisseur d’identité GitHub pour votre cluster qui est limité aux membres de votre organisation GitHub.
Configurez un fournisseur d’identité en utilisant le mode interactif:
$ rosa create idp --cluster=<cluster_name> --interactive1 - 1
- <cluster_name> par le nom de votre cluster.
Exemple de sortie
I: Interactive mode enabled. Any optional fields can be left empty and a default will be selected. ? Type of identity provider: github ? Identity provider name: github-1 ? Restrict to members of: organizations ? GitHub organizations: <github_org_name>1 ? To use GitHub as an identity provider, you must first register the application: - Open the following URL: https://github.com/organizations/<github_org_name>/settings/applications/new?oauth_application%5Bcallback_url%5D=https%3A%2F%2Foauth-openshift.apps.<cluster_name>/<random_string>.p1.openshiftapps.com%2Foauth2callback%2Fgithub-1&oauth_application%5Bname%5D=<cluster_name>&oauth_application%5Burl%5D=https%3A%2F%2Fconsole-openshift-console.apps.<cluster_name>/<random_string>.p1.openshiftapps.com - Click on 'Register application' ...- 1
- Remplacez <github_org_name> par le nom de votre organisation GitHub.
Suivez l’URL dans la sortie et sélectionnez Enregistrer l’application pour enregistrer une nouvelle application OAuth dans votre organisation GitHub. En enregistrant l’application, vous activez le serveur OAuth intégré dans ROSA pour authentifier les membres de votre organisation GitHub dans votre cluster.
NoteLes champs dans l’enregistrement d’un nouveau formulaire d’application OAuth GitHub sont automatiquement remplis avec les valeurs requises via l’URL définie par le ROSA CLI.
Employez les informations de votre page d’application GitHub OAuth pour remplir les instructions interactives de rosa restantes.
Exemple continu de sortie
... ? Client ID: <github_client_id>1 ? Client Secret: [? for help] <github_client_secret>2 ? GitHub Enterprise Hostname (optional): ? Mapping method: claim3 I: Configuring IDP for cluster '<cluster_name>' I: Identity Provider 'github-1' has been created. It will take up to 1 minute for this configuration to be enabled. To add cluster administrators, see 'rosa grant user --help'. To login into the console, open https://console-openshift-console.apps.<cluster_name>.<random_string>.p1.openshiftapps.com and click on github-1.NoteIl peut prendre environ deux minutes pour que la configuration du fournisseur d’identité devienne active. Lorsque vous avez configuré un utilisateur cluster-admin, vous pouvez regarder les pods OAuth redéployer avec la configuration mise à jour en exécutant oc get pods -n openshift-authentication --watch.
Entrez la commande suivante pour vérifier que le fournisseur d’identité a été configuré correctement:
$ rosa list idps --cluster=<cluster_name>Exemple de sortie
NAME TYPE AUTH URL github-1 GitHub https://oauth-openshift.apps.<cluster_name>.<random_string>.p1.openshiftapps.com/oauth2callback/github-1
B) Ressources supplémentaires
- Des étapes détaillées pour configurer chacun des types de fournisseurs d’identité pris en charge, voir Configuration des fournisseurs d’identité pour STS.
Accorder l’accès de l’utilisateur à un cluster
Il est possible d’accorder à un utilisateur un accès à votre cluster Red Hat OpenShift Service sur AWS (ROSA) en les ajoutant à votre fournisseur d’identité configuré.
Il est possible de configurer différents types de fournisseurs d’identité pour votre cluster ROSA. La procédure d’exemple suivante ajoute un utilisateur à une organisation GitHub qui est configurée pour la fourniture d’identité au cluster.
Procédure
- Accédez à github.com et connectez-vous à votre compte GitHub.
- Invitez les utilisateurs qui ont besoin d’accéder au cluster ROSA à votre organisation GitHub. Dans Inviter les utilisateurs à rejoindre votre organisation dans la documentation GitHub.
Accorder des privilèges d’administrateur à un utilisateur
Après avoir ajouté un utilisateur à votre fournisseur d’identité configuré, vous pouvez accorder aux utilisateurs des privilèges d’administration ou d’administration dédiés pour votre cluster Red Hat OpenShift Service sur AWS (ROSA).
Procédure
Configurer les privilèges cluster-admin pour un utilisateur du fournisseur d’identité:
Accorder à l’utilisateur cluster-admin privilèges:
$ rosa grant user cluster-admin --user=<idp_user_name> --cluster=<cluster_name>1 - 1
- <idp_user_name> et <cluster_name> par le nom de l’utilisateur du fournisseur d’identité et le nom de votre cluster.
Exemple de sortie
I: Granted role 'cluster-admins' to user '<idp_user_name>' on cluster '<cluster_name>'Assurez-vous que l’utilisateur est listé en tant que membre du groupe cluster-admins:
$ rosa list users --cluster=<cluster_name>Exemple de sortie
ID GROUPS <idp_user_name> cluster-admins
Configurer des privilèges dédiés-admin pour un utilisateur du fournisseur d’identité:
Accorder à l’utilisateur des privilèges d’administration dédiés:
$ rosa grant user dedicated-admin --user=<idp_user_name> --cluster=<cluster_name>Exemple de sortie
I: Granted role 'dedicated-admins' to user '<idp_user_name>' on cluster '<cluster_name>'Assurez-vous que l’utilisateur est répertorié en tant que membre du groupe admins dédiés:
$ rosa list users --cluster=<cluster_name>Exemple de sortie
ID GROUPS <idp_user_name> dedicated-admins
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}